Cartilha lgpd anahp

LEI
GERAL
DE
PROTEÇÃO
DE
DADOS
Recomendações
Anahp para os hospitais
associação nacional
de hospitais privados
anahp

SOBRE A ANAHP
Disclaimer
Este material foi produzido pelo Grupo de Estudos sobre
a Lei Geral de Proteção de Dados da Anahp, que reúne
representantes dos hospitais associados participantes dos
Grupos de Trabalho: Legal-regulatório, Gestão de Pessoas,
Tecnologia da Informação e Organização Assistencial. Esta
publicação tem como finalidade única prestar informações
sobre o tema LGPD, bem como orientar as instituições
hospitalares sobre a sua implementação. Todos os direi-
tos são reservados. É proibida a duplicação ou reprodução
deste material no todo ou em parte, sob quaisquer formas
ou por quaisquer meios (eletrônico, mecânico, gravação,
fotocópia, distribuição na web ou outros), sem permissão
expressa da Associação.
A Associação Nacional de
Hospitais Privados – Anahp é
a entidade representativa dos
principais hospitais privados
de excelência do país. Criada
em 11 de maio de 2001, du-
rante o 1º Fórum Top Hospi-
tal, em Brasília, e fundada em
11 de setembro do mesmo
ano, a Anahp surgiu para de-
fender os interesses e neces-
sidades do setor e expandir
as melhorias alcançadas pe-
las instituições privadas para
além das fronteiras da saúde
suplementar, favorecendo a
todos os brasileiros.
Atualmente, a entidade ocu-
pa uma função estratégica no
desdobramento de temas fun-
damentais à sustentabilidade
do sistema. Representante de
hospitais reconhecidos pela
certificação de qualidade e se-
gurança no atendimento hospi-
talar, a Anahp está preparada
para fortalecer o relacionamen-
to setorial e contribuir para a re-
flexão sobre o papel da saúde
privada no país.

4 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
CONSELHO DE
ADMINISTRAÇÃO
Presidente: Eduardo Amaro | H. e Maternidade Santa Joana – SP
Vice-Presidente: Henrique Neves | H. Israelita Albert Einstein – SP
Bernardete Weber | H. do Coração (HCor) – SP
Délcio Rodrigues Pereira | H. Anchieta – DF
Francisco Balestrin | H. Vita Curitiba – PR
Henrique Salvador | Rede Mater Dei de Saúde – MG
Paulo Azevedo Barreto l H. São Lucas – SE
Paulo Chapchap | H. Sírio-Libanês – SP
Paulo Junqueira Moll l Hospital Barra D’Or – RJ

5LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
A Lei Geral de Proteção de Dados (LGPD) tem
importância singular na construção e consolida-
ção do mercado digital, devendo cada instituição
encontrar a melhor maneira de promover sua im-
plantação, assegurando a todas as pessoas, se-
jam elas colaboradores, clientes e fornecedores,
a proteção dos seus dados.
No mundo contemporâneo, inovações tecnológicas
surgem a todo momento e impactam diretamen-
te a sociedade, influenciando na maneira como se
relacionam e consomem produtos e serviços. Evi-
dentemente, este novo cenário significa progresso e
acesso à informação, mas ao mesmo tempo,
A Associação, por meio de sua área de Rela-
cionamento Institucional, em Brasília, atuou for-
temente durante a construção do texto da Me-
dida Provisória 869/2018, que alterou alguns
pontos da LGPD.
Solicitações importantes da Anahp, apresen-
tadas ao deputado Orlando Silva (PCdoB-SP),
relator da emenda, foram contempladas na MP,
como o compartilhamento de dados sensíveis
sem consentimento do paciente, com o objetivo
de se obter vantagem econômica (somente se a
troca de dados for necessária para a prestação
de serviços de saúde e de assistência farma-
cêutica ou à saúde, incluídos o diagnóstico e a
terapia, em benefício dos interesses dos titula-
res dos dados); seleção adversa aos planos de
APRESENTAÇÃO
nos deparamos com um mundo totalmente
sem fronteiras, e é justamente esse o desafio
nesse momento: dar segurança jurídica e maior
proteção aos direitos dos titulares dos dados,
apoiando e orientando sobre a implantação, de
forma harmoniosa, da LGPD.
Não é uma missão fácil e tampouco simples. O
objetivo desta cartilha, construída pelo Grupo
de Estudos sobre a Lei Geral de Proteção de
Dados da Anahp, é contribuir com a implemen-
tação da LGPD, trazendo conceitos para com-
preensão dos impactos na prática do dia a dia
das instituições hospitalares.
saúde; e inclusão de “serviços de saúde” para
possibilitar o tratamento de dados sem consen-
timento para a tutela da saúde.
Outro pleito da Associação é o de que um dos três
assentos previstos para representantes de confe-
derações do setor produtivo na Autoridade Nacio-
nal de Proteção de Dados seja da área da saúde,
representado pela CNSaúde.
O esforço da Anahp em advocacy visa estimular
e dar continuidade ao desenvolvimento de novas
terapias e melhoria da prestação de serviços na
cadeia da saúde, sempre com foco no paciente,
entregando melhores resultados para a popula-
ção. A Associação acredita que a lei é benéfica
para a sociedade, uma vez que estabelece pro-
cessos, papéis e dá transparência às relações.
ATUAÇÃO DA ANAHP
GRUPO DE ESTUDOS SOBRE A LEI GERAL
DE PROTEÇÃO DE DADOS DA ANAHP

SUMÁRIO
I
VISÃO GERAL DA PROTEÇÃO
DE DADOS NO BRASIL
A. Conceitos
B. Privacidade de dados
C. Segurança da informação
II
PROTEÇÃO DE DADOS
EM SAÚDE
A. Arcabouço normativo da
proteção de dados em saúde
no Brasil
B. Hipóteses de tratamento
C. Comunicação e compartilha-
mento de dados em saúde
para prestação de assistência
D. Notificações compulsórias
8
24
25
27
29
31
16
13
9

III
AGENTES DE TRATAMENTO
A. Definição
B. Obrigações e responsabilidades
C. DPO
D. Relatório de impacto
IV
OPORTUNIDADES E DESAFIOS
PARA O SETOR
A. Normas de segurança
B. Padrões técnicos
C. Formulários e fluxos de dados
nos hospitais
V
INCIDENTE DE SEGURANÇA
A. Relatório de impacto
B. Mecanismos internos de
supervisão
C. Medidas de mitigação de
riscos
32
44
60
33
46
49
55
62
63
64
36
41
43

I
VISÃO GERAL
DA PROTEÇÃO
DE DADOS NO
BRASIL

A.
CONCEITOS
A Lei Geral de Proteção de Dados (LGPD) apresenta conceitos especí-
ficos para as expressões mencionadas em seus artigos. Para facilitação
da leitura deste manual e sua interpretação conjunta com o texto legal,
serão utilizados os seguintes conceitos, cujo sentido é o mesmo adota-
do pela lei:
1) Dado pessoal: informação
relacionada à pessoa natural
identificada ou identificável. Essa
informação representa todo e
qualquer dado que possa tornar
uma pessoa identificável, seja ela
diretamente relacionada ao seu ti-
tular (como um nome ou número
de documento) ou mesmo indire-
tamente relacionada, mas com
potencial de identificá-lo(a) (como
endereço, idade, informações so-
bre hábitos de compra, etc);
2) Dado pessoal sensível: dado
pessoal sobre origem racial ou ét-
nica, convicção religiosa, opinião
política, filiação a sindicato ou a
organização de caráter religioso,
filosófico ou político, dado referen-
te à saúde ou à vida sexual, dado
genético ou biométrico, quando
vinculado a uma pessoa natural;
3) Dado anonimizado: dado
relativo ao titular que não possa
ser identificado, considerando a
utilização de meios técnicos razo-
áveis e disponíveis na ocasião de
seu tratamento;
4) Banco de dados: conjunto
estruturado de dados pessoais,

estabelecido em um ou em vá-
rios locais, em suporte eletrôni-
co ou físico;
5) Titular: pessoa natural a
quem se referem os dados pesso-
ais que são objeto de tratamento;
6) Controlador: pessoa natural
ou jurídica, de direito público ou
privado, a quem compete as deci-
sões referentes ao tratamento de
dados pessoais;
7) Operador: pessoa natural ou
jurídica, de direito público ou pri-
vado, que realiza o tratamento
de dados pessoais em nome do
controlador;
8) Encarregado (DPO): pes-
soa indicada pelo controlador e
operador para atuar como canal
de comunicação entre o contro-
lador, os titulares dos dados e a
Autoridade Nacional de Prote-
ção de Dados;
9) Agentes de tratamento: o
controlador e o operador;
10) Tratamento: toda operação
realizada com dados pessoais,
como as que se referem à coleta,
produção, recepção, classificação,
utilização, acesso, reprodução,
transmissão, distribuição, proces-
samento, arquivamento, armaze-
namento, eliminação, avaliação
ou controle da informação, modi-
ficação, comunicação, transferên-
cia, difusão ou extração;
11) Anonimização: utilização de
meios técnicos razoáveis e dispo-
níveis no momento do tratamento,
por meio dos quais um dado perde
a possibilidade de associação, dire-
ta ou indireta, a um indivíduo;
12) Consentimento: manifes-
tação livre, informada e inequí-
voca pela qual o titular concor-
da com o tratamento de seus
dados pessoais para uma fina-
lidade determinada;

13) Bloqueio: suspensão tempo-
rária de qualquer operação de tra-
tamento, mediante guarda do dado
pessoal ou do banco de dados;
14) Eliminação: exclusão de
dado ou de conjunto de dados ar-
mazenados em banco de dados,
independentemente do procedi-
mento empregado;
15) Transferência internacio-
nal de dados: transferência de
dados pessoais para país estran-
geiro ou organismo internacional
do qual o país seja membro;
16) Uso compartilhado de
dados: comunicação, difusão,
transferência internacional, in-
terconexão de dados pessoais
ou tratamento compartilhado de
bancos de dados pessoais por en-
tidades e órgãos públicos no cum-
primento de suas competências
legais, ou entre entes privados,
reciprocamente, com autorização
específica, para uma ou mais mo-
dalidades de tratamento permiti-
das por esses entes públicos, ou
entre entes privados;
17) Relatório de impacto à
proteção de dados pessoais:

documentação do controlador
que contém a descrição dos pro-
cessos de tratamento de dados
pessoais que podem gerar riscos
às liberdades civis e aos direitos
fundamentais, bem como medi-
das, salvaguardas e mecanismos
de mitigação de risco;
18) Órgão de pesquisa: órgão
ou entidade da administração pú-
blica direta ou indireta ou pessoa
jurídica de direito privado sem
fins lucrativos legalmente consti-
tuída sob as leis brasileiras, com
sede e foro no país, que inclua em
sua missão institucional ou em
seu objetivo social ou estatutário
a pesquisa básica ou aplicada de
caráter histórico, científico, tec-
nológico ou estatístico;
19) Autoridade nacional: órgão
da administração pública respon-
sável por zelar, implementar e fis-
calizar o cumprimento desta lei.
ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS

B.
PRIVACIDADE DOS
DADOS PESSOAIS
Como é sabido, a informação tornou-se um dos bens de maior valia. As-
sim, no nosso dia a dia usamos, absorvemos, produzimos e transmiti-
mos informação o tempo todo. Desta maneira, um dos grandes desafios
atuais é assegurar a proteção devida para estes dados e, consequente-
mente, a privacidade.
1. O regime jurídico
brasileiro de privacidade
A privacidade é protegida por
diversas fontes, dentre as quais
destacamos a Constituição Fede-
ral (CF) (artigo 5º, incisos X e XII),
o Código de Defesa do Consumi-
dor (CDC) (artigo 43) e o Marco
Civil da Internet (MCI) (artigo 3,
inciso II e III).
Desta maneira, a privacidade do
indivíduo e, por consequência, as
informações do titular dos dados
pessoais, é considerada um direi-
to fundamental.
2. A privacidade dos
dados pessoais na LGPD
Como não poderia ser diferente,
a LGPD prevê que toda a pessoa
natural tem assegurada a titula-
ridade de seus dados pessoais e
garantidos os direitos fundamen-
tais de liberdade, de intimidade e
de privacidade.
Ela aplica-se independentemen-
te do meio e/ou forma de trata-
mento dos dados coletados ou
recebidos, isso significa que todo
aquele que faz uso do dado se im-
põe às regras da LGPD.

Assim, para que haja o cumpri-
mento das obrigações e procedi-
mentos enumerados na lei, o con-
ceito de privacidade dos dados
pessoais deverá sempre permear
qualquer tratamento de dados
realizados pelos controladores e
operadores.
Um exemplo que demonstra a ne-
cessidade de respeito à privacida-
de, consiste na possibilidade de o
titular dos dados possuir direito
ao acesso facilitado às informa-
ções sobre o tratamento de seus
dados, de forma a especificar a
finalidade do tratamento e in-
formar quais dados estão sendo
compartilhados e a sua finalidade.
Para que o princípio da privaci-
dade dos dados pessoais seja, de
fato, implementado e observado,
a LGPD informa que os contro-
ladores e os operadores poderão
formular regras de boas práticas
e de governança que estabeleçam
as condições de organização e
procedimentos no tratamento de
dados pessoais.
Dentre os pontos listados, res-
salta-se que, o controlador pode-
rá implementar o programa de
governança em privacidade que,
no mínimo:
Seja adaptado à estrutu-
ra, à escala e ao volume de
suas operações, bem como
a sensibilidade dos dados
tratados;
Forneça a gestão de con-
sentimento e finalidades
na utilização de dados
pessoais;
Forneça a gestão dos fluxos
de dados pessoais, desde a
coleta até seu descarte;
Estabeleça políticas e sal-
vaguardas adequadas com
base em processo de avalia-
ção sistemática de impac-
tos e riscos à privacidade;
Seja integrado a sua estru-
tura geral de governança e
estabeleça e aplique me-
canismos de supervisão
internos e externos.
Preveja fluxos internos de

certificação de privacida-
de quando da criação de
projetos, fluxos, serviços
ou produtos que envol-
vam dados pessoais (pri-
vacy by design).
Em que pese a LGPD não dis-
por acerca da obrigatorieda-
de do controlador possuir um
Manual de Boas Práticas e de
Governança, recomenda-se que
os hospitais implementem tais
medidas, pois a Autoridade
Nacional de Proteção de Da-
dos (ANPD) poderá solicitar
a efetividade de seu programa
de governança em privacidade,
com o intuito de comprovar o
cumprimento da lei.

C.
SEGURANÇA
DA INFORMAÇÃO
1. Conceitos fundamentais
Segurança da informação é a
prática que visa garantir a confi-
dencialidade, integridade e dispo-
nibilidade de dados aos interes-
sados pelo gestor de um banco
de dados, por meio de métodos
que assegurem a manutenção
de tais características dos dados
que são objeto de tratamento e
acesso. Em detalhes, tais carac-
terísticas são:
Confidencialidade: restri-
ção de acesso a dados ex-
clusivamente aos usuários
legítimos, protegendo-os
do acesso por estranhos;
Integridade: manuten-
ção dos dados na mesma
condição à qual eles fo-
ram disponibilizados por
seu titular;
Disponibilidade: garan-
tia de que os dados con-
cedidos pelo titular e os
dados gerados a partir
destes estarão disponí-
veis mediante solicitação
do titular ou de seu res-
ponsável.

A segurança da informação é o
elemento chave da governança
de dados, devendo ser operada
por meio de práticas e ativida-
des, tais como a elaboração de
processos internos e externos,
treinamentos e estabelecimento
de Políticas de Segurança da In-
formação (PSI).
Por meio desses esforços, a se-
gurança da informação irá prote-
ger todos os ativos de informa-
ção da empresa: dados, pessoas,
softwares, equipamentos físicos,
entre outros.
2. Passos para a imple-
mentação de segurança da
informação
Neste tópico, descreveremos de
forma objetiva e geral os passos
para a efetivação das práticas de
Segurança da
informação
Confidencialidade
Integridade
Disponibilidade
Softwares EquipamentosFuncionários Clientes
Propriedade Intelectual Bancos de dados

segurança da informação. Reco-
mendamos que cada instituição
adote as ferramentas e, se ne-
cessário, contrate prestadores
de serviços especializados, que
indicarão quais são os melhores
métodos à cada empresa.
Classificação
das Informações
O primeiro passo para dar início
às práticas de segurança da in-
formação é a classificação das in-
formações detidas pela empresa.
Dessa forma, será possível com-
preender quais medidas serão
aplicáveis e os esforços necessá-
rios para garantir a confidenciali-
dade, integridade e disponibilida-
de dos dados e informações sob
custódia.
Além dos pilares da segurança
da informação descritos acima,
insere-se neste ponto um quar-
to elemento, a ser levado em
consideração: o valor atribuído
à informação. Seja diretamente
de seu proveito econômico, seja
indiretamente, em decorrência
dos prejuízos a serem arcados
em caso de vazamento ou perda,
o valor da informação será fator
indispensável para aplicação re-
levante de uma efetiva PSI.
Neste sentido, é indispensável co-
nhecer quais ameaças seriam apli-
cáveis à informação objeto de pro-
teção. Seguem alguns exemplos:
Os concorrentes têm inte-
resse nesses dados?
Há risco reputacional ele-
vado em caso de perda ou
vazamento?
Há risco de pagamento de
indenizações em caso de
perda ou vazamento?
Há determinação legal ou
regulamentar de sigilo e/
ou segurança de tais dados
ou informações?
Esclarecidos esses pontos, cada
instituição poderá atribuir uma
forma de classificação de tais
informações que lhe seja mais
apropriada. Abaixo propomos
a seguinte classificação como
sugestão:

NÍVEL EXEMPLOS
PÚBLICO
Catálogos de cursos, formulários
de candidatura e de solicitação,
entre outras informações que,
em geral, são abertamente com-
partilhadas. Informações que
são divulgadas no site institucio-
nal são bons exemplos de dados
públicos.
INTERNO
Memorandos, correspondências
e atas de reuniões, listas de con-
tatos que contêm informações
que não estão disponíveis publi-
camente e documentação pro-
cessual que deve permanecer na
esfera interna.
CONFIDENCIAL
Demonstrações financeiras, pron-
tuário do paciente, estatísticas e
indicadores.
RESTRITO
Dados de acesso limitado a pro-
fissionais da saúde, dados finan-
ceiros não objeto de divulgação
pública, atas de assembleias ou
reuniões de sócios não registradas
na junta comercial, entre outros.
DESCRIÇÃO
Dados públicos são informações
que podem ser divulgadas a qual-
quer pessoa, independentemente
da sua relação com a instituição.
A classificação pública não se li-
mita aos dados que sejam de in-
teresse público ou destinados ao
público, a classificação é aplicável
para dados que não necessitam
de proteção contra a divulgação.
Esta informação é aquela que
a instituição não tem interesse
em divulgar e o acesso por par-
te de indivíduos externos deve
ser evitado. Entretanto, caso a
informação seja disponibilizada
por alguma razão, não causará
danos sérios à instituição.
Informação interna da institui-
ção cuja divulgação pode causar
danos financeiros ou à imagem
da organização. Essa divulgação
pode gerar vantagens a eventuais
concorrentes e perda de clientes.
Derivação da informação confi-
dencial, cuja restrição de acesso
possui maior grau interno.

Implementação de
ferramentas e políticas
Uma vez estabelecida a ordem de
classificação das informações e
dados objeto de tratamento na
instituição, será necessário im-
plementar e executar ações que
visem a adoção de uma cultu-
ra de segurança da informação.
Exemplificamos abaixo algumas
sugestões:
Adoção de medidas de se-
gurança apropriadas ao
acesso de dados de acordo
com a sua classificação,
como a utilização de se-
nhas, confirmação por du-
plo fator, adoção de tokens,
entre outros;
Análise interna do banco
de dados, a fim de verificar
os processos de tratamen-
to e os riscos envolvidos;
Adoção de medidas tec-
nológicas internas que ga-
rantam a segurança das
informações, tais como a
eliminação de dados des-
necessários, anonimização
e psdeudonimização de da-
dos, criptografia, etc;
Elaboração de uma Política
de Segurança da Informa-
ção, com orientações obje-
tivas de métodos e proces-
sos para o tratamento de
dados e medidas de segu-
rança apropriadas;
Realização de treinamentos
e divulgação de materiais
de conscientização para
funcionários e clientes.
3. O incidente de segurança
da informação
Segundo o ISO/IEC 27035-
1/2016, em livre tradução, um
Evento de Segurança da Informa-
ção pode ser considerado como
uma ocorrência indicando uma
possível violação de segurança da
informação ou falha de controles.
Já o Incidente de Segurança da
Informação, por sua vez, são um
ou vários Eventos de Segurança

da informação, com potencial de
causar dano aos ativos de uma
organização ou comprometer
suas operações[1].
Diante dos diuturnos avanços
tecnológicos, da difusão da utili-
zação de bases de dados por out-
sourcing e do crescimento cons-
tante do interesse financeiro por
dados, vemos que a ocorrência de
Incidentes de Segurança da Infor-
mação vem crescendo exponen-
cialmente. Somente no Brasil, em
2018, foram detectados 120,7
milhões de links maliciosos[2], ao
passo que a pesquisa do mesmo
ano “Global State of Information
Security“, realizada em 122 paí-
ses, revelou que 54% das empre-
sas não possuem um processo de
resposta a incidentes[3].
As causas de um Incidente de
Segurança da Informação são as
mais variadas, podendo ser delibe-
radas (como ataques ao banco de
dados ou utilização de engenharia
social), ou acidentais (decorrentes
de erros humanos ou causas natu-
rais). Dentre as consequências es-
tão o acesso não autorizado às in-
formações, a implicação de danos
à base de dados ou até mesmo a
perda desses dados.
Especificamente no que se refere
a dados pessoais, é indispensável
destacar que a LGPD reputa que
o controlador dos dados é res-
ponsável direto e objetivo por tais
incidentes que causem danos a ti-
tulares de dados pessoais, inclusi-
ve de natureza coletiva, além das
multas e sanções descritas na lei,
como o bloqueio temporário dos
dados objeto de tratamento e até
mesmo o pagamento de multa no
valor de até 2% do faturamento
da pessoa jurídica ou grupo eco-
nômico.
Ainda nos termos do ISO/IEC
27035-1/2016, os objetivos de um
plano de abordagem do incidente
de informação precisam conter:
A detecção rápida do inci-
dente, com imediata clas-
sificação dos riscos rela-
cionados;
Resposta apropriada e efi-
ciente ao incidente;

Aplicação de controles que
possam minimizar os efei-
tos adversos;
O estabelecimento de elos
com os processos de admi-
nistração de crises já ado-
tados pela empresa;
Aprendizagem rápida das
falhas exploradas no inci-
dente, com correção de vul-
nerabilidades.
Destacamos que, além dos pon-
tos descritos acima, a partir da
vigência da LGPD, em caso de in-
cidente que envolva o tratamento
de dados pessoais, o controlador
deverá ainda decidir, de acordo
com a classificação de risco, se
será realizada a comunicação à
Autoridade Nacional de Proteção
de Dados. Isso porque, segundo
a lei, deve ser comunicado o inci-
dente “que possa acarretar risco
ou dano relevante aos titulares”.
Por esta razão, é indispensável
que as instituições se preparem,
tanto criando ferramentas asser-
tivas de segurança da informação,
como desenvolvendo respostas
eficientes aos incidentes.
Adotadas as devidas ferramen-
tas e políticas, não somente a
instituição poderá operar o tra-
tamento de dados com seguran-
ça, mas também terá seus riscos
minimizados em caso da ocor-
rência de incidente.
[1] ISO/IEC 27035-1/2016, 4, 4.1: “An information security event is an occurrence indicating a pos-
sible breach os information security or failure of controls. An information security incident is one or
multiple related and identified information security events that meet established criteria and can
harm an organization’s assets or compromise its operations.”
[2] Relatório da Segurança Digital no Brasil: Disponível em https://www.psafe.com/dfndr-lab/wp-
-content/uploads/2018/08/dfndr-lab-Relat%C3%B3rio-da-Seguran%C3%A7a-Digital-no-Bra-
sil-2%C2%BA-trimestre-de-2018.pdf
[3] Fortalecendo a Sociedade Digital contra o caos cibernético. Disponível em https://www.pwc.com.
br/pt/publicacoes/assets/2017/fortalecimento_sociedade_digital_17_gsiss.pdf

II
PROTEÇÃO
DE DADOS
EM SAÚDE

A.
ARCABOUÇO
NORMATIVO DA
PROTEÇÃO DE DADOS
EM SAÚDE NO BRASIL
Conforme a Constituição Federal de 1988:
“...são invioláveis a intimidade, a vida privada, a honra e a imagem das
pessoas, assegurado o direito à indenização pelo dano material ou
moral decorrente de sua violação” (Constituição Federal de 1988, art.
5º, inciso X).
Considerando-se que o direito à privacidade já é um item assegurado
em nossa Constituição, a questão da proteção de dados em saúde vem
sendo discutida com bastante ênfase pelo setor. Há uma crescente
utilização dos recursos da Tecnologia da Informação e Comunicação
dentro da saúde, onde dados transitam em grande volume e nem sem-
pre de forma ordenada - sendo usados em recursos como prontuário
eletrônico do paciente (PEP), telemedicina, troca de informações en-
tre instituições, troca de informações entre a área assistencial, etc.
Com isso, surge a real necessidade de padronização e regulamenta-
ção do assunto para a correta utilização de tais dados, que devem ter
como principal objetivo a assistência adequada ao indivíduo, uma vez
que o uso inadequado da informação pode trazer problemas e causar
dano direto ou indireto ao indivíduo (por exemplo: discriminação, pre-
conceito ou utilização de recursos para benefícios próprios).

O e-Health (Electronic Health), como é determinado pela Organização
Mundial da Saúde (OMS), é a utilização da Tecnologia da Informação e
Comunicação em saúde, utilizada para a assistência ao paciente, pes-
quisa, educação e capacitação das pessoas da área, monitoração do
paciente e avaliação. No entanto, normatizar essa quantidade de in-
formações geradas sobre os pacientes é um enorme desafio, com alto
nível de complexidade.
No Brasil, algumas ações vêm sendo tomadas para padronizar este
tipo de informação. No caso da saúde privada, a Agência Nacional de
Saúde Suplementar (ANS) padronizou as informações de saúde entre
prestadores de serviço, operadoras e governo através do TISS (Troca de
Informações da Saúde Suplementar).
Existem vários esforços para que haja padronização e normas claras
para a proteção de dados em saúde. A Lei do Marco Civil da Internet -
Lei 12.965 de abril/2014 - já é um princípio para proteção de dados da
informação, porém muito vinculada apenas ao uso da internet.
Em 2016, a Política Nacional de Informação em Saúde (PNIS) estabe-
leceu alguns princípios com o objetivo de garantir a confidencialidade,
o sigilo e a privacidade da informação de saúde pessoal como direito
do indivíduo.
Tais legislações foram complementadas com a Lei 13.709/2018 - Lei
Geral de Proteção de Dados, que é voltada para a proteção de dados
do indivíduo e, consequentemente, complementando a proteção de
dados e informações na área da saúde.
A LGPD traz em seu texto a questão de tratamento de dados e a forma
pelas quais os dados poderão ser utilizados, como nos trechos abaixo:
“… para a tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;” (LGPD
13709/2018, Art 7º, inciso VIII)
“...É vedada a comunicação ou o uso compartilhado entre controladores
de dados pessoais sensíveis referentes à saúde com objetivo de obter van-

tagem econômica, exceto nas hipóteses relativas à prestação de serviços
de saúde, de assistência farmacêutica e de assistência à saúde, desde que
observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose
e terapia, em benefício dos interesses dos titulares de dados, e para permi-
tir:” (LGPD 13709/2018, Capítulo II, Seção II, Art. 11, parágrafo 4).
Os esforços para se atender à nova legislação são enormes, uma vez
que há muitas dúvidas e o tempo é escasso.
B.
HIPÓTESES
DE TRATAMENTO
As hipóteses de tratamento dos dados de acordo com a LGPD são:
Consentimento do titular, para uso das informações;
Cumprimento das obrigações legais ou regulatórias pelo
controlador;
Uso da administração pública, para o tratamento e uso com-
partilhado de dados necessários para cumprimento de políticas
públicas;

Órgão de pesquisa clínica, assegurando a anonimização;
Execução de contrato;
Exercício regular de direitos em processo (judicial, administrati-
vo ou arbitral);
Proteção da vida e segurança física do titular ou de terceiros;
Tutela da saúde exclusivamente em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;
Atendimento ao legítimo interesse do controlador ou de tercei-
ros (exceto quando os direitos e liberdades fundamentais do ti-
tular exijam a proteção dos dados pessoais); ou
Proteção do crédito.
Em qualquer um dos casos, o tratamento de dados pessoais nas ocasi-
ões em que o acesso é público, deve considerar a finalidade, a boa-fé e
o interesse público que justificarem sua disponibilização.
Material de consulta
https://www.scielosp.org/pdf/csp/2018.v34n7/e00039417
https://nupef.org.br/sites/default/files/downloads/artigo%20politics_esaude%20e%20priva-
cidade.pdf
LGPD na Saúde - O que as empresas precisam saber - Machado Nunes

C.
COMUNICAÇÃO E
COMPARTILHAMENTO
DE DADOS EM SAÚDE
PARA PRESTAÇÃO DE
ASSISTÊNCIA
O tratamento de dados pessoais sensíveis somente poderá ocorrer:
Com consentimento que evidencie uma manifestação livre, in-
formada e inequívoca, e destacado para finalidades específicas
do titular ou seu responsável legal;
Sem o consentimento do titular quando for indispensável e es-
tiver dentro das hipóteses taxativamente previstas no art. 11:
“tutela da saúde exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária”.
Uma alteração trazida pela Lei 13.853 de 2019 é a inclusão do §5º:
“É vedado às operadoras de planos privados de assistência à saúde,
o tratamento de dados de saúde para prática de seleção de riscos na
contratação de qualquer modalidade, assim como na contratação e
exclusão de beneficiários.”

D.
NOTIFICAÇÃO
COMPULSÓRIA
O controlador deve comunicar à autoridade competente e ao titular,
em prazo razoável a ser definido pela autoridade competente, a ocor-
rência de incidente de segurança que possa acarretar risco ou dano
relevante aos titulares (art. 48).
Essa comunicação deverá conter:
A descrição da natureza dos dados pessoais afetados;
Os titulares envolvidos;
As medidas técnicas e de segurança utilizadas para a proteção
dos dados;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso da comunicação não ter sido
imediata;
As medidas adotadas para corrigir ou mitigar os efeitos do pre-
juízo causado ao titular pelo incidente.

III
AGENTES DE
TRATAMENTO

A.
DEFINIÇÃO
Agentes de tratamento são todos os indivíduos que controlam
ou tratam informações que contenham dados pessoais. A Lei nº
13.709/2018 elenca expressamente, no art. 5º, IX, que os agentes de
tratamento são o controlador e o operador.
O controlador, na definição legal (art. 5º, VI) é “pessoa natural ou jurídi-
ca, de direito público ou privado, a quem competem as decisões referentes
ao tratamento de dados pessoais”. Já o operador (art. 5º, VII) é “pessoa
natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados pessoais em nome do controlador”.
Os agentes de tratamento de dados neste contexto serão os hospitais,
por meio de seus colaboradores, médicos e parceiros (terceiros) que
tratam os dados dos pacientes/clientes, em virtude do relacionamen-
to de prestação de serviços de saúde específicos de cada instituição.
Um hospital pode ser controlador e operador dos dados ao mesmo
tempo, diante de uma atividade (processo) que trate os dados pes-
soais dos titulares. Outro cenário é quando um hospital terceiriza a
operação dos dados, como um laboratório de análises clínicas, diag-
nóstico por imagem, call center para SAC , por exemplo, caso em que
o hospital seria controlador de dados.
Um fluxo comum a considerar será: por força de uma relação estabe-
lecida entre um titular e um controlador de dados que conta com ser-
viços prestados por um operador, o titular dos dados fornece os dados
para um operador ou, um operador coleta os dados de um titular sob
seu consentimento. O operador deve atender as determinações de tra-
tamento de dados definidas pelo controlador de dados. O controlador

de dados deve estar em conformidade com as definições da LGPD.
Cabe ao controlador de dados nomear um encarregado (DPO) para
atuar como canal de comunicação para atender as necessidades dos
titulares junto ao controlador e à ANPD.
Fonte: Amaro Neto.
Figura 1 | Agentes: fluxo de relacionamento
Titular
DPO
encarregado Controlador
Operador
ANPD
Agentes de
tratamento
de dados
Dados pessoais
Agentes
Autoridade
Nacional
de Proteção
de Dados

Dentro da estrutura organizacional de uma instituição existe mais de
uma pessoa ou setor que pode ser qualificado como controlador e ope-
rador, de modo que é necessário o adequado mapeamento destes, a
fim de fazer com que a implementação das regras editadas pela LGPD
se dê de maneira ampla e completa.
Fonte: Amaro Neto.
Figura 2 | Agentes de tratamento de dados: exemplos de controlador e operador
Cenário A
Laboratório
Call
Center
Diagnóstico
por
imagem
Hospital
HospitalHospital
Cenário B
Agentes de tratamento de dados
Dados pessoais
Controlador Controlador
Operador (terceiros) Operador
Dados pessoais

B.
OBRIGAÇÕES E
RESPONSABILIDADES
A principal obrigação que a LGPD dispõe aos agentes de tratamento
(art. 37) é a de que mantenham um registro das operações de tra-
tamento que realizarem, especialmente quando este tratamento de
dados se der fundado em legítimo interesse, previsto no art. 10.
O controlador tem a específica atribuição de indicar o encarregado
pelo tratamento de dados pessoais (art. 41). Por sua vez, cabe ao ope-
rador realizar o tratamento de dados “segundo as instruções fornecidas
pelo controlador, que verificará a observância das próprias instruções e
das normas sobre a matéria” (art. 39).
Importante garantir que as instruções do controlador ao operador
sejam claras e, preferencialmente, formais, para que não haja ambi-
guidade e/ou falha no processo de tratamento de dados. Para tanto,
possuem papéis importantes as áreas:
Jurídica:
Responsável por manter os
termos contratuais de con-
sentimento atualizados e em
aderênciacomalegislação;
ApoiarainstituiçãoeoDPO
durante processos legais;
Apoiar na demonstração
dos controles existentes
para mitigação dos pontos
da legislação em caso de
abordagem.

Assistencial e corpo clínico:
Não emprestar creden-
ciais;
Não salvar informações
localmente ou em meios
que não sejam controla-
dos pela instituição;
Não compartilhar infor-
mações confidenciais por
aplicativos de mensagens
instantâneas, redes sociais,
e-mail particular ou qual-
quer outro que não exista
controle da instituição;
Aderir às políticas de pri-
vacidade e tomar todas
as cautelas necessárias
no manuseio de dados
sensíveis;
Não conversar em locais
públicos mencionando da-
dos sensíveis de pacientes.
Recursos Humanos:
Deve desenvolver medidas
disciplinares para colabo-
radores que descumpram
as políticas da instituição;
Deve conter uma política
formal e divulgada para
os colaboradores sobre as
medidas disciplinares.
Auditoria Interna e Risco:
Definir metodologia de au-
ditoria interna para garan-
tir que os processos estão
sendo seguidos;
Reportar os resultados das
auditorias periodicamente
para o DPO e alta direção;
Desenvolver relatórios de
risco e reportá-los para o
DPO e alta direção.

Tecnologia da Informação e
Segurança da Informação:
Desenvolvimento de meios
seguros de armazenamen-
to, processamento e trans-
missão para proteção de
dados pessoais;
Desenvolvimento e di-
vulgação das Políticas de
Segurança da Informação,
incluindo Política de Clas-
sificação da Informação;
Levantamento e docu-
mentação das interfaces
de troca de informações
com dados sensíveis (ar-
quiteto de dados);
Segregação de perfis de
acesso a dados pessoais e
gestão de acessos;
Proteção contra vaza-
mento de informação,
bloqueio de pendrive e
DLP Endpoint para as es-
tações de trabalho;
Cybersecurity (Monitora-
ção, alerta, segregação de
ambientes);
Definição de tecnologias
para gestão dos termos
de consentimento de pa-
cientes e colaboradores
para uso dos dados (mé-
todo de armazenamento,
pesquisa, tratamento dos
casos de não consenti-
mento, revogação/mu-
dança do consentimento,
exclusão de dados);
Definição de tecnologias
para processo de trans-
ferência segura de dados
sensíveis (operadoras na-
cionais e internacionais);
Anonimização e pseudo-
nomização em banco de
dados;
Continuidade de negócios
(possibilidade de multa
em caso de perda de in-
formação do paciente);

Conscientização de cola-
boradores e prestadores
de serviço;
Processo de desenvol-
vimento seguro que
envolva testes durante
todo o ciclo.
Gestão de fornecedores/con-
tratos:
Aplicar os termos desen-
volvidos pelo jurídico para
novos contratos e criar
aditivos para os contratos
já existentes;
Auditoria periódica nas ope-
radoras e prestadores de
serviço onde exista a trans-
ferência de informações que
contenham dados pessoais.
Serviços de apoio médico:
Manter a salvaguarda de
informações que conte-
nham dados pessoais e
sensíveis;
Coletar consentimento
de médicos, assistência
e pacientes sempre que
necessário.
Em seu artigo 18, a LGPD, ainda que em linhas gerais a merecer melhor
regulamentação pela ANPD, detalha obrigações do controlador peran-
te o titular de dados pessoais objeto de tratamento:
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários,

excessivos ou tratados em desconformidade com o disposto na lei;
Portabilidade dos dados a outro fornecedor de serviço ou produ-
to, mediante requisição expressa e observados os segredos co-
mercial e industrial, de acordo com a regulamentação do órgão
controlador;
Eliminação dos dados pessoais tratados com o consentimento
do titular, exceto nas hipóteses previstas no art. 16 da lei;
Informação das entidades públicas e privadas com as quais o
controlador realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimen-
to e sobre as consequências da negativa;
Revogação do consentimento, nos termos do parágrafo 5º do
art. 8º da lei.

C.
DATA PROTECTION
OFFICER (DPO)
O DPO (Data Protection Officer) surgiu com a consolidação da GDPR
na União Europeia, como um cargo de nível estratégico, que é respon-
sável por disseminar a cultura de proteção de dados na instituição,
criar normas e procedimentos que atendam às legislações de proteção
de dados vigentes, sendo um canal de comunicação entre instituição,
titular das informações e entidades governamentais que controlam e
regulam a proteção de dados individuais. Na prática, o DPO agrega
funções de uma Security Officer ou de um CISO (Chief Information Se-
curity Officer).
Trata-se de uma função multidisciplinar, pois o profissional deve ter
conhecimento de como a instituição atua com os dados coletados e
sua forma de tratamento. Além disso, precisa ter sinergia ou conhe-
cimento em tecnologia e segurança da informação, aspectos legais,
compliance, gestão de riscos, comunicação fluida e clara e ter bom
relacionamento, já que será um influenciador dentro da instituição.
Uma de suas principais funções será receber as notificações dos titula-
res das informações e/ou da entidade fiscalizadora, sendo responsável
por sua apuração, tratativa adequada e resposta ao titular e à ANPD.
Deverá ter autonomia para auditar e fiscalizar as possíveis irregulari-
dades para que possam ser corrigidas e notificadas conforme rege a lei.
Figura idêntica existe na diretriz europeia. O Data Protection Officer
(DPO) será a pessoa (natural ou jurídica), que atuará “como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade

Nacional de Proteção de Dados (ANPD)” (art. 5º, VIII), será o responsá-
vel por disseminar a cultura de proteção de dados na instituição, além
de criar normas e procedimentos adequados à lei. Será o responsável
por receber as notificações da ANPD e dos titulares das informações
e as colocará em prática.
O DPO deverá ter sua identidade e informações de contato divulgadas
publicamente de forma clara e objetiva, preferencialmente no site do
controlador (art. 41, §1º). A LGPD lista as atividades do DPO no art.
41, §2º, sendo de mais destaque as seguintes:
Garantir a efetividade dos controles relacionados à proteção de
dados pessoais sob custódia da organização;
Coordenar a conformidade do processo com os outros agentes
de tratamento;
Relacionar-se com entidades de autoridade;
Em caso de incidente, analisar se aquilo deve ser reportado ou não;
ODPOseráacionadolegalmenteemcasodeincidentesmaisgraves.

D.
RELATÓRIO
DE IMPACTO
Segundo a LGPD (art. 5º, XVII), o relatório de impacto à proteção de
dados é a “documentação do controlador que contém a descrição dos
processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salva-
guardas e mecanismos de mitigação de risco.”
O referido relatório poderá ser solicitado ao controlador pela ANPD
(art. 38), e deverá conter, no mínimo, “a descrição dos tipos de dados co-
letados, a metodologia utilizada para a coleta e para a garantia da segu-
rança das informações e a análise do controlador com relação a medidas,
salvaguardas e mecanismos de mitigação de risco adotados.”
Caso ocorra algum incidente de segurança que possa implicar em ris-
co ou em dano aos titulares de dados pessoais, caberá ao controlador
comunicar à ANPD e ao titular de dados pessoais tal ocorrência (art.
48). Esta comunicação deverá ocorrer em prazo razoável (que será ob-
jeto de regulamentação pela ANPD - §1º).

IV
OPORTUNIDADES
E DESAFIOS
PARA O SETOR

No Brasil, a ISO/IEC 27000 é um conjunto de padrões que fornece
uma estrutura de gerenciamento de segurança da informação, utiliza-
da como forma de normalizar grande parte das ações e investimentos
realizados pelas instituições em segurança.
As práticas de segurança da informação estão intimamente ligadas à
quantidade de recursos que as instituições destinam para este fim todos
os anos, e cada um tem seu próprio modelo de segurança implantado.
O fato de termos diferentes produtos e modelos de segurança implanta-
dos nas instituições não é um problema, visto que diferentes ameaças
são lançadas no mercado a cada dia, explorando diferentes vulnerabili-
dades e gerando como consequência uma vasta gama de subprodutos
para prover o controle. Entretanto, a falta de um padrão dificulta a deci-
são de qual tecnologia adotar e quanto de recurso destinar.
Este capítulo abordará práticas de segurança considerando o concei-
to de defesa em camadas e avaliando os modelos mais consolidados.
Tais práticas, se aplicadas, além de promoverem segurança para os
hospitais, também ajudarão a mitigar os impactos gerados pelas san-
ções judiciais previstas pela nova lei.
Por fim, é importante considerar que estar de acordo (compliance)
com a LGPD não é o mesmo que estar seguro. Mas também é verda-
deiro que se adaptar às rotinas e políticas nas instituições, conforme
previsto na lei, consequentemente aumentará o nível de segurança.

A.
NORMAS
DE SEGURANÇA
O conceito de segurança da informação está padronizado na ISO/IEC
17799, que também traz o conceito de informação, assim como seguem:
A construção dos procedimentos de segurança da informação deve con-
duzir a gestão das informações, a construção dos ambientes de TI e as
ações de usuários a culminarem na garantia da manutenção das suas
quatro características básicas, que são:
Confidencialidade: limita o acesso à informação tão somente às
pessoas e/ou entidades autorizadas pelo proprietário da informa-
Informação: é um ativo
que, como qualquer ativo
importante, é essencial
para os negócios de uma
organização e conse-
quentemente necessita
ser adequadamente pro-
tegido.
Segurança da informa-
ção: é obtida a partir da
implementação de um
conjunto de controles ade-
quados, incluindo políticas,
processos, procedimentos,
estruturas organizacionais
e funções de software e
hardware. Tais controles
devem permanecer inse-
ridos em um ciclo de me-
lhoria contínua da organi-
zação, como a garantia de
sua atualização e funcio-
namento adequado.

ção ou quem tenha a reserva legal de preservá-la;
Integridade: garante que a informação, mesmo que alterada,
mantenha todas as características originais estabelecidas pelo
proprietário da informação, incluindo controle de mudanças e ga-
rantia do seu ciclo de vida (nascimento, manutenção, alteração e
destruição);
Disponibilidade: garante que a informação esteja sempre dispo-
nível para uso dos usuários autorizados pelo proprietário da in-
formação;
Irretratabilidade: garante a impossibilidade de negar a autoria em
relação a uma transação anteriormente realizada, permitindo a
rastreabilidade no manejo da informação com os registros que
demonstrem a fidedignidade do processo de guarda e autoria.
Quando estes procedimentos são aplicados às informações sensíveis de
saúde, combinados com atributos de auditoria e controles de acesso,
há a prevenção de erros clínicos e a manutenção da continuidade dos
serviços.
Para normalizar os requisitos de um Sistema de Gestão da Segurança
da Informação (SGSI), a ISO/IEC 27001 é utilizada no Brasil com o prin-
cipal objetivo de estabelecer, implementar, operar, monitorar, realizar
análise crítica, manter e melhorar o seu SGSI.
Observada a relevância das normas de segurança da informação frente
ao estudo proposto neste material, a figura abaixo relaciona os capítu-
los da LGPD que mencionam segurança com seu respectivo capítulo
normatizado na ISO 27001, facilitando, assim, a localização e interpre-
tação do conteúdo.

Fonte: Amaro Neto.
A.5 - Políticas de
segurança da informação
A.8 - Gestão de Ativos
A.9 - Controle de Acesso
A.10 - Criptografia
A.12 - Segurança
nas operações
A.13 - Segurança nas
comunicações
A.18 - Conformidade
A.14 - Aquisição, manu-
tenção e desenvolvimento
de sistema
A.17 - Aspectos da segurança
da informação na gestão da
continuidade do negócio
1
4
7
2
5
8
3
6
9
Capítulo 07 - Seção 02
Capítulo 07 - Seção 01 e 02
Capítulo 01 - Disposições Preliminares (VII)
ISO27001
LGPD

B.
PADRÕES TÉCNICOS
No tempo em que as instituições utilizavam documentos físicos, os
padrões de segurança previam que estes fossem armazenados em lo-
cal que pudesse ter a porta trancada.
No cenário de saúde, os hospitais precisam manter os prontuários fí-
sicos por, no mínimo, vinte anos para algumas patologias e, em outras
situações, este prazo pode ser ainda maior. Portanto, a digitalização
desses documentos facilita seu armazenamento e gestão, ao passo
que gera novas demandas para a TI, que deve armazená-los garantin-
do disponibilidade e segurança.
Com a evolução destes documentos para os meios digitais, a ação de
manter a segurança foi elevada para níveis complexos, exigindo am-
bientes sofisticados, com alto custo e necessidade de atualizações
constantes.
A construção de políticas, normas e procedimentos, a adoção das me-
lhores práticas de segurança, o monitoramento e a auditoria destas
ações, representam que a proteção deve ser elaborada visando mitigar
riscos causados por pessoas, ambiente ou sistemas e equipamentos.
No atual cenário virtual, as ameaças chegam aos ambientes de forma
silenciosa e invisível, explorando não apenas as vulnerabilidades de
hardware e software, mas também as vulnerabilidades das pessoas,
exigindo a construção de defesas em todas as camadas envolvidas nos
ambientes de TI das empresas.
As instituições possuem suas próprias políticas de segurança da in-
formação e todos os seus usuários devem conhecer e praticar as di-
retrizes ali definidas. Geralmente, as organizações também possuem

Física
Políticas,
Procedimentos e Conscientização
um processo de detecção e classificação de risco próprio, levando em
consideração o valor do seu ativo e a probabilidade do risco. Desta
forma concentram seus esforços e investimentos em segurança da in-
formação.
Nesta seção serão abordados os padrões técnicos de segurança da
informação necessários para garantir a continuidade de negócios das
instituições, considerando os dados como o ativo principal, ou seja, os
dados no centro do ambiente de TI.
Dados
Aplicação
Servidores
Rede Interna
Perímetro

Para cada camada existe uma variedade de medidas tecnológicas que
podem ser implementadas, como forma de prover segurança de suas
informações. A seguir, serão utilizados alguns exemplos, dentre muitas
possibilidades, para ilustrar cada camada, lembrando sempre que não
existe uma receita pronta e que a combinação de soluções/equipamen-
tos resulta em diferentes níveis de segurança, que estarão ligados à
quantia de esforço, técnica e investimentos disponíveis para este fim.
1. Aplicações
Prover segurança exige observar
qual linguagem será utilizada, a
metodologia de desenvolvimento
que deve prover a adequada se-
gurança desde sua escrita, assim
como, a utilização de protocolos
e servidores web seguros em caso
de aplicações desenvolvidas para
este meio.
Os sistemas devem prever o ar-
mazenamento de logs e possuir
auditorias ativas, possibilitando a
rastreabilidade e identificação das
ações tomadas pelos usuários.
Deve também prover perfis de
acesso conforme suas atribuições
e um gerenciamento de conces-
sões/revogações de direitos.
Cuidar da segurança do sistema,
não significa dizer que está se cui-
dando da segurança dos dados
pessoais/sensíveis, é necessário
que sejam observados os aspec-
tos de privacidade. E as equipes
de engenharia, análise, desenvol-
vimento e testes, deverão ser ca-
pacitados, conforme a metodolo-
gia privacy by design.
2. Servidores
A metodologia de Hardening é
aplicada como padrão de segu-
rança em infraestrutura e servi-
dores, através do processo de ma-
peamento de ameaças, mitigação
de riscos e execução das ações
corretivas. O objetivo principal
dos padrões recomendados neste

modelo é tornar o ambiente me-
nos suscetível a invasões.
A efetividade deste modelo
deve considerar três fatores:
segurança, risco e flexibilidade.
Mantê-los balanceados será o
desafio desta implementação,
visto que, quanto mais seguro
for o servidor, menos flexível
ele se tornará.
Deve ser sempre lembrado que a
aplicação de patches de correção/
segurança e a utilização de siste-
mas operacionais com suporte do
fornecedor é regra fundamental
para um ambiente seguro.
3. Rede interna
Inicialmente deve-se pensar na
rede de dados interna como o ca-
minho que permite aos usuários
chegar até as informações dese-
jadas, sendo assim, prima-se pela
continuidade e disponibilidade
deste meio, bem como, para dar
vazão a todas as necessidades de
todos os setores da organização.
Como forma de adicionar segu-
rança a este meio, as instituições
devem adicionar alguns compo-
nentes a ela:
Software de antivírus: este
recurso é utilizado para
detectar e deter ameaças,
uma vez que já estão salvas
e/ou instaladas nos com-
putadores ou servidores.
Segmentação da rede: é
a divisão da rede em sub
redes, para evitar que ano-
malias e ameaças se mul-
tipliquem para diversos
setores da organização, au-
mentando a possibilidade
de efetividade e danos.
Access Control List (ACL):
oulistadecontroledeaces-
so, referente às permissões
atribuídas a um objeto que
especificam quais usuários
recebem acesso ao mesmo
tempo e as operações que
ele pode executar.
Network Access Control
(NAC): já com alternativa
open source para algumas

distribuições de sistemas
operacionais, o NAC é
fundamental para colocar
os dispositivos em conso-
nância com as regras de
segurança estabelecidas
pela organização. Com a
crescente utilização dos
dispositivos BYOD, este
protocolo passa a ser um
forte aliado.
Senhas fortes: atualmen-
te já está se falando em
abolir a troca periódica
de senhas, já tendo pu-
blicações realizadas pelo
NIST (National Institute
of Standards and Tecnolo-
gy) defendendo esta ação,
assim como, a Microsoft
também adicionou esta
prática como padrão. Am-
bos afirmam que o uso de
senhas complexas e lon-
gas são mais seguras do
que a troca periódica de
senhas. Considera-se nes-
ta orientação que os usu-
ários tendem a seguir pa-
drões nas trocas de suas
senhas, o que torna fácil
quebrá-las.
4. Perímetro
No perímetro são instalados
equipamentos (firewall, roteador,
etc.), e neles são definidas regras
para evitar acessos a sites que
contenham conteúdos e/ou ar-
quivos nocivos ao ambiente de TI.
Outro aliado é o protocolo DLP
(Data Loss Prevention), geralmen-
te é uma funcionalidade oferecida
pelo equipamento de firewall, mas
também pode ser uma solução in-
dependente. Ele é responsável por
garantir que dados sensíveis não
saiam da rede interna para a rede
externa (internet).
5. Física
Esta, sem dúvida, é a prática de
segurança mais antiga, pois des-
de os primórdios guardamos ati-
vos de valor em locais trancados
e a chave é oferecida apenas às
pessoas que tenham real neces-

sidade de acesso aos objetos ali
armazenados.
Quando este assunto é associado
ao meio digital, a segurança física
se dá aos equipamentos que ar-
mazenam ou acessam os dados,
portanto a utilização de contro-
les de acessos (sejam sensores
biométricos, sensores de retina
ou apenas uma chave), a conces-
são ou revogação dos acessos aos
indivíduos deve ser rigorosamen-
te gerenciada.
6. Política, procedimentos e
conscientização
Promover a cultura de segurança
para as pessoas é o maior desa-
fio das organizações, portanto,
é sempre recomendado que as
instituições busquem promover
treinamento para suas equipes,
fomentando a prática de utiliza-
ção do meio digital com seguran-
ça, moderação e sigilo.
O desenvolvimento da Política de
Segurança da Informação, Política
de Gestão de Mudanças, política
de uso de e-mail, política de uso
de internet, entre outras, faz parte
das ações de construção de dire-
trizes promovidos pelas organiza-
ções, na busca de incutir regras
seguras em seus colaboradores.
Além disso, devemos adequar a es-
trutura operacional e técnica das
instituições para viabilizar e cum-
prir com todos os direitos que a lei
garante ao titular do dado. Desen-
volver mecanismos que permita
ao titular exercer o seu direito de
forma fácil e gratuita.

C.
FORMULÁRIOS E
FLUXOS DE DADOS
NOS HOSPITAIS
A conformidade com a lei pode ser verificada com um conjunto de for-
mulários, dentre os quais destacamos a importância de uma linguagem
clara e objetiva.
Algumas instituições estão implantando um Termo de Esclarecimento
que consiste numa forma de se manter desde já uma linha direta com
seus clientes, pacientes/responsáveis.
A seguir um exemplo de termos básicos que podem compor o re-
ferido termo:
Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD)
O Hospital XXXXXX protege a confidencialidade de dados pessoais e dados sensí-
veis que lhe são confiados pelo paciente e titular desses dados. Para isso, vem im-
plementando medidas de segurança, técnicas e administrativas, aptas a proteger os
dados pessoais contra acessos não autorizados e de situações acidentais, ou qual-
quer forma de tratamento inadequado, necessárias ao cumprimento da Lei Geral de
Proteção de Dados (Lei n° 13.709/2018). Regras de boas práticas e de governança
garantem que o tratamento de dados pessoais e sensíveis seja lícito, leal, transpa-
rente e limitado às finalidades autorizadas a que se destina. A coleta de dados pesso-

ais e dados sensíveis para tratamento é realizada pelo Hospital XXXXXX com base
em medidas necessárias para assegurar a exatidão, integridade, confidencialidade, e
anonimização, bem como garantir o respeito à liberdade, privacidade, inviolabilidade
da intimidade, imagem, enfim, todos os direitos dos titulares, inclusive o exercício
do direito de solicitar acesso, correção e eliminação de dados pessoais e sensíveis
armazenados em banco de dados e sistema digital do Hospital XXXXX.”
Outro documento fundamental para nossa atividade é o Consen-
timento Livre e Esclarecido. O consentimento deve ser obtido em
conformidade com a lei, que em seu artigo 5º XII define:
“Para os fins dessa lei considera-se:
Consentimento: manifestação livre, informada e inequívoca pela
qual o titular concorda com o tratamento de seus dados pessoais
para uma finalidade determinada”.
Ao ponderar pelo tratamento de seus dados pessoais, o paciente
deve ter informações suficientes sobre a instituição, os serviços e
o tratamento de seus dados, a fim de que possa entender o escopo
do contrato ao qual está aderindo e tomar uma decisão consciente.
Para que o consentimento seja considerado informado, devem ser
fornecidas aos pacientes ao menos informações sobre a identi-
dade da empresa responsável pelo tratamento de dados (quando
contratada) e as finalidades a que o tratamento se destina.
A aceitação do paciente, como ato jurídico, sujeita-se ainda aos
chamados vícios de consentimento (erro, dolo, coação, etc.), os
quais, quando verificados, importam na ineficácia da manifesta-
ção de vontade e consequente nulidade do vínculo contratual.
Não se pode admitir a validade de consentimento, por exemplo,
de quem assentiu por erro ou ignorância. Por esse motivo, é fun-

damental que a instituição seja transparente com seus pacientes,
fornecendo-lhes o máximo de informações possíveis sobre as fi-
nalidades da coleta de dados.
O consentimento inequívoco depende de manifestação por meio
de um ato positivo do paciente. Em outras palavras, deve haver
uma ação do paciente indicando sua aceitação, seja pelo envio de
um e-mail, assinatura eletrônica, ou até mesmo por um clique em
local determinado.
A aceitação não pode ser passiva, de forma que o silêncio do pa-
ciente não pode ser considerado consentimento.
Outro exemplo que merece atenção é o uso de checkboxes indi-
cando aceitação aos Termos de Uso ou Políticas de Privacidade
quando feito o cadastro. Nos termos da lei, por depender o con-
sentimento de uma ação positiva do paciente/usuário, é impres-
cindível que este efetivamente clique na respectiva checkbox indi-
cando sua concordância. Se a checkbox já estiver preenchida no
formulário de cadastro, não haverá uma ação do paciente/usuário
para aceitação, podendo o consentimento vir a ser invalidado em
caso de discussão judicial.
O mesmo vale para eventuais alterações aos Termos de Uso ou
Políticas de Privacidade. Havendo modificações substanciais
quanto ao modelo de negócios da instituição ou, ainda, quanto
à forma de tratamento de dados dos pacientes, por exemplo, o
consentimento originalmente fornecido não será mais válido,
sendo necessária comprovação de novo ato positivo do paciente
demonstrando sua aceitação.
A coleta de dados deve ser sempre vinculada a uma ou mais fina-
lidades específicas e informadas na respectiva Política de Privaci-
dade, sendo coibido o uso de dados para fins não previstos, sem
prévio consentimento do paciente.
Como ideia preliminar, abaixo uma proposta que deve ser adapta-

da por cada instituição, além de cláusulas e/ou anexos nos con-
tratos firmados pelo hospital, de modo que esclareça a adesão às
legislações e às políticas institucionais.
TERMO DE CONSENTIMENTO (MODELO)
N° Nome:
Data de nascimento: Sexo: RG:
Contato: Cel.: Entrada:
Operadora: Num.
Possuímos o propósito de ser um agente transformador da saúde, com
medicina de excelência, atendimento e humanização e prevenção de riscos na
saúde para melhorar a vida das pessoas!
Para que possamos prestar um serviço adequado e de alto padrão, nós do
XXX, solicitamos que você nos forneça algumas informações pessoais e de saúde,
para poder oferecer a melhor experiência durante os nossos serviços.
O tratamento desses dados seguirá as diretrizes da nossa Política de Pri-
vacidade, disponível no endereço eletrônico XXX. Seus dados serão tratados por
nós pelo prazo permitido pela legislação brasileira e poderão ser utilizados para as
finalidades descritas abaixo. Para que isso seja possível, solicitamos que você dê
seu consentimento.
Ao concordar com esse termo, você estará dando seu consentimento
para que possamos:
1) Realizar o seu exame pretendido; 2) Elaborar os resultados e laudos
dos seus exames, nos permitindo entrar em contato com você para mantê-lo in-
formado, quando necessário, sobre agendamentos dos seus exames, bem como
sobre o andamento e os resultados deles e possíveis necessidades de procedi-
mentos confirmatórios ou novas coletas; 3) Colaborar com o desenvolvimento de
novos produtos, serviços, eventos e oportunidades promovidas pela XXX; 4) Gerar
análises e estudos que contribuam com a melhoria de nossas atividades e aper-
feiçoem o uso e a experiência interativa em nossos sites, plataformas, produtos e
serviços; 5) Transferência de dados para terceiros parceiros da XXX que atendam
aos requisitos técnicos e para as finalidades presentes em nossa Política de Pri-

vacidade; 6) Promover ações de engajamento e disponibilização de programas de
monitoramento, dicas e orientações em relação a sua própria saúde; 7) Notificá-lo
acerca de nossas campanhas educacionais e de marketing, as quais terão o intui-
to de auxiliá-lo a melhorar a sua saúde e bem-estar; 8) Permitir contato direto da
XXX com seu médico e direcionamento precoce de suas informações de saúde e
exames para que seu cuidado possa ser realizado de forma ágil e efetiva; 9) Com
base nos seus dados de saúde, convidá-lo a participar das iniciativas de prevenção,
promoção e atenção à saúde desenvolvidas por parceiros, sem que, desta forma,
seus dados sejam compartilhados com estes, que não os profissionais de saúde
que venham a prestar atendimento a você; 10) Demais finalidades presentes em
nossa Política de Privacidade.
Informamos também que seus dados poderão ser armazenados e utiliza-
dos para o atendimento de obrigação legal ou regulatório que a XXX tenha que
cumprir, bem como para o exercício regular de direitos, conforme expresso na Lei
Geral de Proteção de Dados (lei n° 13.709/2018).
Saiba que você é o titular dos seus dados pessoais e está livre para, a
qualquer momento, solicitar o acesso, a retificação, a exclusão, a portabilidade,
entre outros direitos.
Ainda, caso você tenha alguma dúvida de como seus dados estão sendo
tratados, entre em contato conosco através XXX.
CONCORDO NÃO CONCORDO
___________________________________________________
ASSINATURA/NOME

De acordo com a ISO 27002, um incidente de segurança da informa-
ção é indicado por um simples ou por uma série de eventos de segu-
rança da informação indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operações do negócio e
ameaçar a segurança da informação.
Para a Lei Geral de Proteção de Dados, pode ser considerado um inci-
dente de segurança:
Qualquer acesso não autorizado a dados que contenham infor-
mações pessoais que possam identificar o indivíduo;
Vazamento de informações de um único registro ou base de da-
dos contendo informações pessoais;
Perda das informações pessoais.
A instituição deve possuir um plano estruturado com fluxo de etapas
com papéis e responsabilidades bem definidos para responder inci-
dentes de segurança. Recomendamos a utilização do Manual de Inci-
dentes de Segurança disponibilizado pelo National Institute of Standard
Technology (800-53) e/ou ISO 27035 Security Incident Management.
Incidentes que deverão ser reportados à Autoridade Nacional de Pro-
teção de Dados (ANPD):
Quando ocorrer um vazamento, acesso não autorizado ou perda
de informações pessoais.
Quando houver um risco muito alto associado a dados pessoais e
não tiver controles mitigatórios suficientes aplicados no momento.

A.
RELATÓRIO
DE IMPACTO
De acordo com a LGPD, Art. 5, Parágrafo XVII, a definição de rela-
tório de impacto à proteção de dados pessoais é: “documentação do
controlador que contém a descrição dos processos de tratamento de
dados pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mi-
tigação de risco”.
Desta forma podemos considerar que o relatório deve conter minima-
mente:
Descrição dos tipos de dados coletados;
Riscos associados;
Medidas e controles de segurança da informação adotados;
Plano de ação de mitigação de riscos.

B.
MECANISMOS
INTERNOS DE
SUPERVISÃO
Para que haja um controle adequado dos incidentes de segurança da
informação, é necessário que as instituições tenham mecanismos in-
ternos de controle e auditoria bem definidos e que sejam atualizados
constantemente para que possam identificar e definir os prováveis ris-
cos de forma rápida. Para isto é necessário:
Conter um processo contínuo de revisão dos relatórios de im-
pacto de proteção de dados, riscos, planos de ação e de fatores
que possam alterar o nível do risco;
Possuir monitoração contínua do ambiente contendo dados
pessoais para identificar e alertar um possível incidente;
Possuir um canal para reporte externo para investigação de um
possível incidente;
Monitorar canais internos e externos de divulgação de inciden-
tes de segurança relacionado a instituição.

C.
MEDIDAS
DE MITIGAÇÃO
DE RISCOS
A lei define como boas práticas e governança a implantação de pro-
cessos e controles com o objetivo de redução de riscos de vazamento
ou perda de informações. A adoção destas medidas será analisada
como fator de redução de possíveis multas aplicadas pela ANPD. Re-
comendamos como principais medidas:
Conscientização contínua de colaboradores e parceiros:
70% dos incidentes de segurança ocorrem devido à falha
humana relacionada à falta de conhecimento ou ações
intencionais. Todos os colaboradores devem conhecer as
políticas de segurança e privacidade da instituição e serem
treinados adequadamente, no mínimo uma vez ao ano.
Conjunto de políticas com as diretrizes definidas pela institui-
ção para serem utilizadas nos processos de conscientização e
para que medidas disciplinares sejam aplicadas em caso de não
conformidade, tais como:
Política de segurança da informação;

Política de privacidade;
Política de classificação da informação;
Política de controle de acesso.
Levantamento das interfaces de troca de informações contendo
dados pessoais e sensíveis:
É necessário que a instituição conheça os processos de arma-
zenamento, processamento e transferência de dados pesso-
ais em todos os meios, como, por exemplo, papel e digital;
Com base neste levantamento, serão aplicados os con-
troles de proteção e salvaguarda legal, além de fornecer a
base inicial para a elaboração de relatórios de impacto de
proteção de dados.
Monitoração contínua e proteção contra vazamento de informação:
Mecanismos técnicos para classificar, identificar, alertar
e bloquear possíveis vazamentos de dados pessoais;
Utilizar os mecanismos como forma de conscientização
do usuário final.
Implantação de um processo de gestão de consentimento:
Fornecer uma interface para que o indivíduo possa autori-
zar, bloquear, revogar o consentimento para o tratamento
dos seus dados pessoais;

Fornecer relatórios com trilhas de auditoria para compro-
vação legal do consentimento ou revogação do indivíduo,
tanto como a tratativa dos dados e sua portabilidade;
Possuir granularidade e especificidade do nível de con-
sentimento de acordo com a exigência da norma.
Criptografia em base de dados:
Possibilitar a anonimização e pseudonomização, evitan-
do que, mesmo os profissionais com acesso privilegiado
para administração da base, acessem o seu conteúdo.
Desenvolvimento seguro (privacy by design):
Implementar o desenvolvimento seguro nos novos projetos;
Realizaraçõesderevisãoeadequaçãodosambienteslegados.
Continuidade de negócios:
Garantir a efetividade de cópias de segurança e que tes-
tes de recuperação sejam realizados periodicamente;
Fornecer infraestrutura e plano de recuperação de desas-
tre para os ambientes que fazem escopo da lei.

associação nacional
de hospitais privados
anahp
www.anahp.com.br

Cartilha lgpd anahp

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Cartilha lgpd anahp

Semelhante a Cartilha lgpd anahp (20)

Cartilha lgpd anahp